国家标准 GB/T37096一2018 信息安全技术办公信息系统安全测试规范 nfmation.steurltyteehmowgy一Seuritytestngspeetfieatfotor officeinformmatiosystes 2018-12-28发布 2019-07-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/37096一2018 目次前言引言范围 2 规范性引用文件术语和定义缩略语物理环境测试基础硬件产品测试 6,1服务器 6.2桌面PC 基础软件产品测试操作系统 7.l 7.2数据库管理系统 7.3应用服务器中间件 7.!办公软件网络设施测试 8 8.1网络设备 8.2安全设备应用软件系统测试 9.1功能性 9.2安全性 10 9.3可靠性 ll 9.4易用性
GB/37096一2018 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准主要起草单位:电子技术标准化研究院、工业和信息化部软件与集成电路促进中心,深圳赛西信息技术有限公司、工业和信息化部电子第五研究所、北京赛西科技发展有限公司、西安电子科技大学、北京工业大学本标准主要起草人;姚相振、刘贤刚,范科蜂、高林、杨建军,唐一鸿、毕思文、叶润国、许东阳,龚洁中孙康健,刘龙庚、刘帅、王莉,李云婷,裴庆祺,杨震
GB/T37096一2018 引言本标准是与GB/T37095一2018相配套的测试标准,用以指导测试人员对办公信息系统安全进行测试本标准按照GB/T370952018关于办公信息系统安全基本技术要求,分别从物理环境、基础硬件产品,基础软件产品、网络设施和应用软件系统等5个方面规定了办公信息系统安全测试规范 IN
GB/37096一2018 信息安全技术办公信息系统安全测试规范范围本标准规定了办公信息系统的物理环境测试、基础硬件产品测试,基础软件产品测试、网络设施测试以及应用软件系统测试的规范本标准适用于指导党政部门的办公信息系统建设,包括系统设计,产品采购、系统集成等,涉密办公信息系统的建设管理依据相关国家保密法规和标准要求实施规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T2887一2011计算机场地通用规范 GB/T18018信息安全技术路由器安全技术要求 GB180302005 信息技术中文编码字符集 GB/T20272信息安全技术操作系统安全技术要求 GB/T20273信息安全技术数据库管理系统安全技术要求 GB 202752013信息安全技术网络人侵检测系统技术要求和测试评价方法 20281-2015信息安全技术防火墙技术要求和测试评价方法 GB 信息安全技术服务器安全技术要求 GB/T210282007 210502007信息安全技术网络交换机安全技术要求(评估保证级3 21052一2007信息安全技术信息系统物理安全技术要求 GB/T25069一2010信息安全技术术语 GB/T26856一2011中文办公软件基础要求及符合性测试规范信息安全技术应用软件系统通用安全技术要求 GB/T284522012 信息安全技术终端计算机通用安全技术要求与测试评价方法 GB/T292402012 GB/T33190-2016电子文件存储与交换格式版式文档 GB/T37095一2018信息安全技术办公信息系统安全基本技术要求 3 术语和定义 GB/T250692010和GB/T37095-2018界定的术语和定义适用于本文件缩略语下列缩略语适用于本文件 BIOs;基本输人输出系统(BasieInputOutputsystem
GB/T37096一2018 CA;认证授权(CertifeateAthority) CPU中央处理器(CentralProcessingUnit P:网际协议(InternetProtocol PC;个人计算机(PersonalComputer) 5 物理环境测试 5.1测试内容测试办公信息系统部署、,运维的物理环境中机房的建设是否符合GB/T2887一2011的要求、物理环境是否符合GB/T21052-2007的要求 5.2测试方法物理环境测试方法应按表1执行表1物理环境测试方法序号测试项测试方法检查其应用服务器、运维服务器、数据库服务器是否用户在大陆境内的办公信息系统部署,运维、位于大陆境内,并提供证明材料政府驻外机构数据备份的物理位置应位于大陆境内依据相关部门要求执行办公信息系统部署、运维的机房建设对于检查满足GB/T2887一201l的证明材料 GB/T2887一2011的标准符合性测试办公信息系统部署、运维的物理环境对于检查满足GB/T21052一2007的证明材料 GB/T21052一2007的标准符合性测试基础硬件产品测试 6.1服务器 6.1.1测试内容测试办公信息系统所采用的服务器硬件产品的硬件指标,BOS基本功能 6.1.2测试方法服务器测试方法应按表2执行表2服务器测试方法序号测试项测试方法检查服务器硬件指标是否符合GB/T21028一2007检查服务器硬件产品符合GB/T21028一2007中第三级及以上安全要求的证明材料中第三继及以上安全要R 测试BOS的中文显示能力检查BOs具有中文显示能力且内容正确
GB/37096一2018 表2(续序号测试项测试方法通过BIOS自动检测升级工具,检查BIOS固件版本信息及其对旧版本的更新能力,包括;安全度量,安全恢测试BIOS支持固件软件安全升级的能力复、安全认证、安全引导、数据加密、配置管理等安全功能的相关测试针对CPU及芯片组固件驱动,操作系统内核等，测试系统启动加载过程必须与底层0S的安全验证 BIOS应支持上述设备经过国家认可的第三方CA接口进行基于证书的认证,经BIOS验证通过后系统机构颁发的代码签名验证方可启动引导加载过程 6.2桌面PC 6.2.1测试内容测试办公信息系统所采用的桌面PC硬件产品的硬件指标,EBIOS基本功能以及厂商所提供的技术资料的完整性 6.2.2测试方法桌面PC测试方法应按表3执行表3桌面PC测试方法序号测试方法测试项检查桌面C硬件指标是否符合GB/T 29240 GB/T292402012 中安检查桌面C硬件产品符合 2012中安全技术要求第三级及以上要求全技术要求第三级及以上要求的证明材料测试提供禁止无线网络模块、红外模块,蓝牙模块、测试禁止无线网络模块、红外模块,蓝牙模块,UsB设 USB设备功能备功能是否正常测试BIOS的中文显示能力检查BIOS是否具有中文显示能力通过BIOS自动检测升级工具,检查BIOS固件版本信息及其对旧版本的更新能力,包括;安全度量,安全恢测试BBOs支持固件软件升级的能力复、安全认证、安全引导、数据加密、配置管理等安全功能的相关测试针对cPU及芯片组固件驱动操作系统内核等，测试系统启动加载过程必须与底层BOs的安全验证 BIOS应支持上述设备经过国家认可的第三方CA接口进行基于证书的认证,经BIOS验证通过后系统机构颁发的代码签名验证方可启动引导加载过程基础软件产品测试 7.1操作系统 7.1.1测试内容测试办公信息系统所采用的操作系统的功能、认证机制、安全性以及厂商所提供的技术资料的完整性
GB/T37096一2018 7.1.2测试方法操作系统测试方法应按表4执行表4操作系统测试方法序号测试项测试方法检查操作系统的字符编码是否符合GB18030- 检查符合GB18030-2005的证明材料 2005的要求检查操作系统及操作系统相关的安全部件是否符检查操作系统及操作系统相关的安全部件符合 GB/T20272中的三级及以上要求 (GB/T20272中的三级及以上要求的证明材料合测试查看文件系统信息,包含高速缓存页大小,文件系统使用过程事件记录,测试文件系统具有记录事件的日志系统和基于页的高速缓存能力测试访间控制结构,测试文件系统完整性检查工具通过桌面程序或终端程序测试重要的文件和目录发生的改变事件是否能够被正确监视,并记录到系统日志中测试能够依据网络上传输的每个IP包所含的源地址、目的地址,端口以及包形态等信息,对包进行过滤,控测试是否支持操作系统防火墙配置工具制封包的流通与否测试能够控制操作系统防火墙网络接口,设定允许进出网络接口的条件以防止网络人侵测试至少支持以下2种或2种以上的认证机制测试操作系统对用户口令进行强化管理,如对用户和口令进行分开管理,实现强化管理的口令鉴别测试操作系统能够采用动态口令鉴别机制，如动态测试是否支持多种认证机制口 1令测试操作系统能够使用生物特征鉴别方式,如指纹、虹膜,人脸等生物特征测试操作系统提供数字证书鉴别机制,如USBKey 测试系统启动加载过程应与底层BIOS的安全验证接测试是否支持底层Bos的安全验证及启动口进行基于证书的认证,经BoS验证通过后系统方可启动引导加载过程通过模拟安装不带有有效证书签名的软件和固件组测试操作系统不应自行安装不带有有效证书签名件的测试,验证系统对于不带有有效证书签名的软件的软件和固件组件和固件组件的安装策略的有效性、完备性验证操作系统是否支持管理员手动创建、修改,配置删除组策略,通过组策略命令行工具,检测面向特定测试是否建立策略来管理软件的安装,防止未授权用户或计算机策略设置的有效性,设置新的散列规则软件安装或修改旧的散列规则,检测其是否能阻止未授权软件的安装
GB/37096一2018 表4(续序号测试项测试方法测试操作系统在用户口令创建过程中,是否强制执行字符数(大、小写字母、数字和特殊字符)的组合,包括测试是否强制执行最低限度密码复杂度,保障账户对每个类型的最低限度要求,当检测到口令未满足最安全低限度要求时,操作系统是否自动采取相关行动如提示用户重新输人口令) 检查操作系统中的防篡改程序,并通过渗透性测试验测试是否安装防篡改保护程序,保护系统组件和系证其对逆向工程,替代修改等贼胁是否具有较强的识 10 统服务别能力和自我修复能力测试操作系统是否在进程级提供安全审计相关功能，测试是否支持进程级安全审计,能够记录所有成功 11 如审计日志、实时报警生成,潜在侵害分析.基于异常和不成功的操作检测.基本审计查阅等测试操作系统中客体在被释放或删除)时,所占用的测试是否保护系统剩余信息安全 12 磁盘块中的内容是否被清空检查“不存在隐蔽接口,不加载能够禁用或绕过安全检查是否存在隐蔽接口或可加载能够禁用或绕过 1 机制的组件”的承诺函,并检查产品的测试端口等是安全机制的组件香已关闭验证操作系统厂商为产品测试抛供的产品接口,协测试操作系统厂商是否为产品测试提供所供应产 1！4 议、加密方式的完备性和真实性,对实现安全功能进品的接口、协议,加密方式等行验证根据用户常见使用模式,提出不同量级的功能裁剪需测试操作系统厂商是否支持根据用户需求对所供求,包括内核级,模块级,功能级等,操作系统厂商按 15 应产品的功能进行裁剪需求进行功能裁剪实现后,验证操作系统厂商根据用户需求对功能进行裁剪的能力 7.2数据库管理系统 7.2.1测试内容测试办公信息系统所采用的数据库管理系统的功能、安全性以及厂商所提供的技术资料的完整性 7.2.2测试方法数据库管理系统测试方法应按表5执行表5数据库管理系统测试方法序号测试项测试方法检查数据库管理系统的字符编码是香符合检查符合GB180302005的证明材料 GB18030一2005的要求检查是否符合GB/T20273的要求检查符合GB/T20273的证明材料
GB/T37096一2018 表5(续序号测试项测试方法测试被测数据库的数据导人/导出组件/工具是否支测试数据库管理系统与其他厂商数据库之间的数持文本文件,通用数据库表,约束、视图等对象和数据据迁移的迁移功能;依据技术文档和用户手册,测试是否支持与其他厂商数据库之间的数据迁移功能检查“不存在隐蔽接口,不加载能够禁用或绕过安全检查是否存在隐蔽接口或可加载能够禁用或绕过机制的组件”的承诺函,并检查产品的测试端口等是安全机制的组件否已关闭验证数据库管理系统厂商为产品测试提供的产品接测试数据库管理系统厂商是否为产品测试提供所口,协议,加密方式的完备性和真实性,对安全功能进供应产品的接口、协议、加密方式等行验证提出不同量级的功能裁剪需求,包括内核级、模块级、测试数据库管理系统厂商是否支持根据用户需求功能级等,数据库管理系统厂商按需求进行功能裁剪对所供应产品的功能进行裁剪实现后,验证数据库管理系统厂商根据用户需求对功能进行裁剪的能力 7.3应用服务器中间件 7.3.1测试内容测试办公信息系统所采用的应用服务器中间件的功能、安全性以及厂商所提供的技术资料的完整性 7.3.2测试方法应用服务器中间件测试方法应按表6执行表6应用服务器中间件测试方法序号测试项测试方法检查应用服务器中间件的字符编码是否符合检查符合GB18030一2005的证明材料 GB18030 -2005的要求测试支持对应用的部署,实现对应用程序包的部署、重启,支持动态部署测试是否支持对应用的部署、调试和卸载测试提供对应用的调试,实现应用程序的远程调试和动态调试测试提供对应用的卸载,实现反部署、停止和卸载测试支持对系统性能进行监控和调优、日志管理的管理工具,实现对HTTP、数据库连接池、JVM虚拟机等测试是否支持对系统性能进行监控和调优、日志管的资源计数器,实现实时监控,并可进行关键参数的理的管理工具配置调优;实现日志功能,能够对日志信息进行配置管理
GB/37096一2018 表6(续序号测试项测试方法测试是否能够以独立或插件形式,提供支持web组件测试是否支持web组件开发的可视化集成开发开发的可视化集成开发工具,集成开发工具能够实现工具对应用服务器的配置部署、启动停止服务、专用工程管理,支持远程部署和调试功能模拟断电,网络,停服务、挂起服务等故障,测试提供测试是否支持保证数据源恢复和保证事务一致性保证数据源恢复和保证事务一致性的系统故障恢复的系统故障恢复能力能力测试应用服务器中间件同时监控或检测多个网络分片的能力,实现高逃聚集的网络数据流的负载均衡测试应用服务器中间件对网络数据流的实时监控采用主动测试和被动两种不同的检测方法,验证应用能力服务器中间件依据既定的安全策略和规则,对不同的网络应用行为提供的报警和阻断的能力测试应用服务器中间件是否提供专用的登陆控制模块对登陆用户身份进行身份验证和鉴别,并检查服务器是否提供了登陆失败处理功能,包括;限制非法登测试应用服务器中间件是否支持对登录用户进行陆次数、登陆失败次数超过设定值则结束会话等身份标识和鉴别测试身份登陆、查看登陆是否成功;测试已注册用户错误用户名和口令登陆系统,验证鉴别失败处理是否有效测试应用服务器中间件是否提供访问控制用户身份组/用户对服务器数据的访问,检测授权主体是否具测试是否支持访问控制功能,控制用户对服务器数有设置用户对服务器数据访问的权限功能,并依据访据的访问向控制列表用户和权限的关系,查看不同用户的权限是否与设定的权限是否具有一致性检查“不存在隐蔽接口,不加载能够禁用或绕过安全检查是否存在隐蔽接口或可加载能够禁用或绕过机制的组件”的承诺函,并检查产品的测试端口等是安全机制的组件否已关闭验证应用服务器中间件厂商为产品测试抛供的产品测试应用服务器中间件厂商是否为产品测试提供 1c 接口、协议、加密方式的完备性和真实性,对安全功能所供应产品的接口,协议,加密方式等进行验证提出不同量级的功能裁剪需求,包括内核级、模块级、测试应用服务器中间件厂商是否支持根据用户需功能级等,应用服务器中间件厂商按需求进行功能裁 1 求对所供应产品的功能进行裁剪勇实现后,验证应用服务器厂商根据用户需求对功能进行裁剪的能力 7.4办公软件 7.4.1测试内容测试办公信息系统所采用的办公软件的功能、安全性以及厂商所提供的技术资料的完整性
GB/T37096一2018 7.4.2测试方法办公软件测试方法应按表7执行表7办公软件测试方法序号测试项测试方法检查办公软件的字符编码是否符合GB18030- 检查符合GB18030一2005的证明材料 2005的要求检查是否符合GB/T26856一2011的要求检查符合 GB/T26856一2011的证明材料检查版式文档是否符合GB/T33190一2016 lG的要求检查符合GB/T33190-2016 6的证明材料检查是否具有浏览器插件,并测试是否能够跨浏览器测试办公软件对浏览器的支持能力环境正常运行检查办公软件是否具有加密选项,并测试在拥有正确测试办公软件是否支持对文件加密的能力密钥的情况下,是否具有正确打开加密文件的能力检查“不存在隐蔽接口,不加载能够禁用或绕过安全检查是否存在隐蔽接口或可加载能够禁用或绕过机制的组件”的承诺函,并检查产品的测试端口等是安全机制的组件否已关闭验证办公软件厂商为产品测试提供的产品接口,协测试办公软件厂商是否为产品测试提供所供应产议,加密方式的完备性和真实性,对安全功能进行品的接口,协议,加密方式等验证提出不同量级的功能裁剪需求,包括内核级、模块级、测试办公软件厂商是香支持根据用户需求对所供功能级等,办公软件厂商按需求进行功能裁剪实现应产品的功能进行裁剪后,验证办公软件厂商根据用户需求对功能进行裁剪的能力网络设施测试 8 8.1网络设备 8.1.1测试内容测试办公信息系统所采用的交换机、路由器等网络设备的功能以及安全性 8.1.2测试方法网络设备测试方法应按表8执行表8网络设备测试方法序号测试项测试方法检查是否符合GB/T21050-2007的要求检查符合GB/T21050一2007的证明材料检查是否符合GB/T18018中第三级安全要求检查符合GB/T18018中第三级安全要求的证明材料
GB/37096一2018 8.2安全设备 8.2.1测试内容测试办公信息系统所采用的防火墙和人侵检测系统等安全设备的功能以及安全性 8.2.2测试方法安全设备测试方法应按表9执行表9安全设备测试方法序号测试项测试方法检查防火墙是否符合GB/T20281一2015的要求检查防火墙符合GB/T20281一2015的证明材料检查人侵检测系统是否符合GB/T202752013的检查人侵检测系统符合GB/T20275一2013的证明材料要求应用软件系统测试 9.1功能性 9.1.1测试内容测试应用软件系统的功能,包括公文管理、归档管理,公告,通知,会议管理、个人工作区,个人信息管理、在线人员列表、管理员用户等 9.1.2测试方法应用软件系统功能性测试方法应按表10执行表10应用软件系统功能性测试方法序号测试项测试方法通过操作应用软件系统测试公文流转功能,测试拟稿,核稿、编辑、审核、撒销,退回,签发、选择下- 一环测试公文管理功能节、发送、签收、会签、登记、拟办、审阅,分办、承办、办结、归档等功能,测试增加和删除附件功能,测试流程跟踪和查看功能通过操作应用软件系统测试归档管理功能,测试公文测试归档管理功能归档、归档查询功能通过操作应用软件系统测试归档管理功能，测试新测试公告功能建、修改、制除,发布等功能通过操作应用软件系统测试通知功能,测试新建、修测试通知功能改,删除,发布等功能
GB/T37096一2018 表10(续序号测试项测试方法通过操作应用软件系统测试会议室管理功能,测试新建、修改、删除、查询会议室等功能;通过操作应用软测试会议管理功能件系统测试会议安排功能,测试新建、修改、删除、查询、打印会议信息等功能通过操作应用软件系统测试个人工作区功能,测试个测试个人工作区功能人待办,个人已办功能通过操作应用软件系统测试个人信息管理功能测试测试个人信息管理功能修改个人信息,修改个人密码功能通过操作应用软件系统测试在线人员列表功能功能，测试在线人员列表功能测试在线人员的姓名,所属部门,职位信息等通过管理员用户登录应用软件系统,测试管理员用户支持用户管理、统一权限管理等功能,测试用户的新测试管理员用户建、修改,删除功能,测试基于功能授权功能,测试基于用户授权功能 9.2安全性 g.2.1测试内容测试应用软件系统的安全性 9.2.2测试方法应用软件系统安全性测试方法应按表11执行表11应用软件系统安全性测试方法序号测试项测试方法检查是否符合GB/T28452一2012中应用软件系统检查符合GB/T28452一2012中应用软件系统安全技安全技术要求第三级及以上要求术要求第三级及以上要求的证明材料检查“不存在隐蔽接口,不加载能够禁用或绕过安全检查是否存在隐蔽接口或可加载能够禁用或绕过机制的组件”的承诺函,并检查产品的测试端口等是安全机制的组件否已关闭检查是否具备“应在用户明示同意后,方可收集用检查“应在用户明示同意后,方可收集用户相关信息” 户相关信息”的承诺丽,测试在收集用户相关信息的承诺丽;通过测试收集用户信息的相关功能,检查时是否显示提示信息是否显示提示信息检查是否具备“在应用软件系统维护升级更新活动检查“在应用软件系统维护升级更新活动中,不得侵中 ,不得侵害用户信息安全"的承诺丽害用户信息安全”的承诺丽 10
GB/37096一2018 g.3可靠性 g.3.1测试内容测试应用软件系统的可靠性,包括成熟度、容错性、易恢复性等 9.3.2测试方法应用软件系统可靠性测试方法应按表12执行表12应用软件系统可靠性测试方法序号测试方法测试项通过人工和工具相互结合的方式,7×24h运行应用测试系统长时间运行的能力软件系统,验证应用软件系统服务器端、客户端能支持7×24h稳定运行,不崩溃不丢失数据通过边界值分析法、等价类划分法等方法设计测试数测试系统的数据有效性检验功能据,检查系统是香提供数据有效性检验功能,保证输人的数据格式或长度符合系统设定的要求通过边界值分析法、等价类划分法、错误推断法、场景测试系统对用户非法的输人或操作的容错能力法等方法设计非法的测试数据,测试用户非法的输人或操作时,系统不崩溃、不退出人工模拟制造网络故障,验证由于网络故障所导致的测试系统的自动保护功能系统故障恢复后,系统可恢复到故障点状态,数据不丢失 9.4易用性 9.4.1测试内容测试应用软件系统的易用性,包括易理解性、易操作性、易学习性等 9.4.2测试方法应用软件系统易用性测试方法应按表13执行表13应用软件系统易用性测试方法序号测试项测试方法通过检查系统提供用户手册,对照系统实际操作,确检查用户手册是否符合要求认手册中的功能描述与软件的实际功能一致通过检查系统研制过程中形成的所有文档,确认文档检查过程文档是否符合要求内容语言简练、前后一致、易于理解以及语句无鼓义通过检查系统各页面,确认系统页面布局合理,不过检查页而布局是否符合要求于密集,也不过于空旷,合理利用空间 1
GB/T37096一2018 表13(续序号测试项测试方法通过实际操作应用软件系统,确认系统的提示、警告检查系统的提示、警告、或错误说明是否符合要求或错误说明清楚、明了,恰当,避免鼓义通过检查系统各编辑页面,确认编辑页面中的必输项检查必输项标识是否符合要求都给出了标识通过实际操作应用软件系统,确认系统对于用户非法对于“非法"的输人或操作,测试系统是否给予提示的输人或操作,给予提示信息,且提示信息能引导用信息户进行正确输人或操作通过实际操作应用软件系统,确认系统对于可能造成对于可能造成数据无法恢复的操作,测试系统是否数据无法恢复的操作,给予提示信息,给用户放弃选给予提示信息择的机会通过检查系统各页面,确认日期类型数据输人提供了测试日期类型数据输人是否提供目历选择功能日历选择功能通过实际操作应用软件系统,确认系统对于Ctrl十A 测试系统是否支持快捷键操作 -c拷贝,Cl+V粘贴、G Ctrl十 X剪切全选、Ctrl十 Ctrl+Z撤消等快捷键的支持通过实际操作应用软件系统,确认系统中有多个输人 l0 Tab键变更光标焦点框的页面,支持通过Tab键变更光标焦点,按照从左到右,从上到下的原则 12

GB/T37096-2018信息安全技术办公信息系统安全测试规范

办公信息系统作为企业日常运营的重要工具，其安全性必须得到充分的保障。因此，在办公信息系统的开发、维护以及升级过程中，安全测试显得尤为重要。作为我国最新出台的办公信息系统安全测试规范，GB/T37096-2018详细阐述了安全测试的流程和规范，对于加强办公信息系统的安全保障具有重要意义。

什么是GB/T37096-2018安全测试规范？

GB/T37096-2018是《信息安全技术办公信息系统安全测试规范》的简称，是中国国家标准化管理委员会发布的一项安全测试规范。该规范主要面向办公信息系统，旨在为企业提供科学、合理的安全测试方法和流程，保障办公信息系统的安全性、完整性和可用性。

GB/T37096-2018规范的内容

GB/T37096-2018规范共分为7个章节，分别是：引言、范围、术语和定义、测试过程、测试资源、测试报告和附录。其中，测试过程是整个规范最为重要的部分，包括了4个阶段：准备阶段、静态测试阶段、动态测试阶段和测试总结阶段。

在测试过程中，GB/T37096-2018规范明确了测试所需资源，包括测试环境、测试工具等。同时，规范还强调了测试报告的编写方式和内容要求，以便于对测试结果进行评估和改进。

GB/T37096-2018规范的应用价值

GB/T37096-2018规范的出台，标志着我国办公信息系统安全测试方面又迈出了重要的一步。它为企业的信息安全提供了更加科学、规范的保障手段，有助于提高企业信息系统的安全性和完整性。此外，规范还具有以下几个方面的应用价值：

指导企业进行安全测试：GB/T37096-2018规范为企业提供了详细的测试流程和方法，使企业能够更好地开展安全测试工作。
提高安全测试的效率：规范明确了测试过程中所需要的资源和测试报告编写方式，可以帮助企业更加高效地进行安全测试。
规范行业安全标准：GB/T37096-2018规范的出台，对于整个行业的信息安全标准化具有重要意义。它为行业标准的制定提供了借鉴和参考。

总结

GB/T37096-通过本文的介绍，相信读者对于GB/T37096-2018规范有了更加深入的了解。作为一项重要的信息安全技术，办公信息系统安全测试是企业信息化建设中不可或缺的一环。只有在加强安全保障的前提下，才能够更好地利用信息技术促进业务发展。在实践中，企业应该根据自身实际情况，结合GB/T37096-2018规范的要求和流程，制定适合自己的安全测试方案，确保其信息系统的安全性、完整性和可用性。同时，也需要不断学习和更新相关知识，提高安全测试的水平和效率。最后，希望本文能够为读者提供有价值的参考和帮助，促进信息安全领域的健康发展。